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Kleine Anfrage 

der Abgeordneten Dr. Konstantin von Notz, Hans-Christian Ströbele, 

Volker Beck (Köln), Katja Keul, Renate Künast, Monika Lazar und der Fraktion 
BÜNDNIS 90/DIE GRÜNEN 


Einsatz von Schadsoftware (sog. Bundestrojaner) und Zurückhaltung und 
Ausnutzung von Sicherheitslücken durch Bundesbehörden 


Seit der Änderung des BKAG im April 2017 hat das Bundeskriminalamt (BKA) 
in § 49 BKAG die Ermächtigung zum präventivpolizeilichen Einsatz von sog. 
Staatstrojanern erhalten. Dabei wurde in § 49 BKAG u.a. verfahrensrechtlich 
nicht sichergestellt, „dass die vom BKA einzusetzende Überwachungs-Software 
Mindestanforderungen an die Datensicherheit erfüllen“ (Buermeyer, Stellung- 
nahme für die Öffentliche Anhörung zum Gesetzentwurf zur Neustrukturierung 
des BKAG, A-Drs. 18(4)806E). Die Rechtsgrundlage für den Einsatz der 
Staatstrojaner führt zu einem Interesse der Sicherheitsbehörden, Sicherheitslü- 
cken offen zu halten, um Systeme von Zielpersonen infiltrieren zu können und 
nicht im Sinne der Cybersicherheit und des Schutzes aller Bürgerinnen und Bür- 
ger an die zuständigen Behörden und die Betroffenen zu melden, damit diese ge- 
schlossen werden. Das Gesetz tritt am 25. Mai 20 18 in Kraft. Bezüglich der Frage, 
ob die vom Bundeskriminalamt entwickelten Trojaner sowie die zusätzlich er- 
worbenen, kommerziellen Trojanerprodukte verfassungskonform eingesetzt wer- 
den können, bestehen aus Sicht der Fragesteller weiterhin erhebliche Zweifel. Die 
Rechtmäßigkeit des Einsatzes und die Verfassungskonformität des Programms 
wäre unter anderem nur über die vollständige Offenlegung des Quellcodes nach- 
zuweisen. Dass die Schadsoftware wie im Falle der sog. Quellen-Telekommuni- 
kationsüberwachung ausschließlich auf Kommunikationsvorgänge beschränkt 
werden kann, halten Experten jedoch für kaum möglich (vgl. https://netzpolitik. 
org/2017/staatstrojaner-bundestag-beschliesst-diese-woche-das-krasseste- 
ueberwachungsgesetz-der-legislaturperiode/). Durch die Schaffung neuer Rechts- 
grundlagen in der StPO zum Einsatz von Trojanern in der Strafverfolgung ver- 
schärft sich die Problematik der vom BKA entwickelten Software. Es besteht die 
Möglichkeit, dass die Software massenhaft in der Strafverfolgung eingesetzt wer- 
den wird und sich die Risiken für die Rechte der Bürgerinnen und Bürger als auch 
für die IT-Sicherheit dadurch potenzieren. Zudem wurden jüngst Berichte darüber 
öffentlich, dass das BKA jedoch nicht einmal die passende Überwachungssoft- 
ware besitze, um die als geringfügigerer Eingriff geltende, sog. Quellen-TKÜ 
durchführen zu können. So funktioniere der neue Bundestrojaner nach Informa- 
tionen der taz nur auf Computern mit den Betriebssystemen Windows 7 und 
Windows 8. An einer Version für Windows 10 werde gearbeitet. Noch gar keine 
Lösung gibt es angeblich für die gängigen Betriebssysteme von Smartphones - 
wo eigentlich der Hauptbedarf bestehe (taz vom 20. Januar 2017, www.taz.de/ 
15373564/). 
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Wir fragen die Bundesregierung: 

1. Wie oft gebrauchte das BKA seit 2008 seine Befugnisse gemäß §§ 20 g - n 
BKAG? (bitte aufschlüsseln nach Norm, Jahr und Zahl der je Betroffenen) 

2. In wie vielen Fällen davon war die gezielte Ausnutzung von sog. Zero-Day- 
Sicherheitslücken Grundlage und Voraussetzung des Einsatzes? 

3. Wie viele allgemein technisch unterscheidbare Verfahren der gezielten Aus- 
nutzung von IT-Sicherheitslücken einzelner Kommunikationsanbieter unter- 
halb der Schwelle des Trojanereinsatzes (vgl. dazu etwa https://motherboard. 
vice.com/de/article/exklusiv-wie-das-bka-telegram-accounts-von-terrorver 
dächtigen) werden von Seiten der Bundesregierung bislang unterschieden 
(bitte im Einzelnen erläutern)? 

4. Wie oft kamen diese Verfahren bis zum heutigen Tage jeweils zum Einsatz, 
und auf welcher Rechtsgrundlage konnte dies nach Auffassung der Bundes- 
regierung geschehen? 

5. Welche Konsequenzen zieht die Bundesregierung aus dem landgerichtlichen 
Verfahren zu den Ermittlungen gegen Tatverdächtige der Old School Society 
Gruppe und die im Verfahren sowie in der öffentlichen Diskussion dazu auf- 
geworfenen rechtlichen Fragen (Quelle siehe Frage 3)? 

6. Wie oft sind BND, MAD, BfV, BKA, ZKA und Bundespolizei seit 2008 
jeweils in Messenger-Dienste-Konten von nach dem Grundgesetz geschütz- 
ten Personen sowie Angehörige von Drittstaaten eingedrungen? 

7. Auf welcher Rechtsgrundlage erfolgten jeweils diese Zugriffe? 

8. In wie vielen Fällen davon waren sog. Zero-Day-Sicherheitslticken Grund- 
lage und Voraussetzung der jeweiligen Maßnahme? 

9. Wie oft wurde die Quellen-TKÜ-Software des BKA (RCIS) bereits seit Frei- 
gabe im Februar 2016 eingesetzt? 

10. Auf welcher Rechtsgrundlage erfolgte nach Auffassung der Bundesregie- 
rung der jeweilige Einsatz? 

11. Wie oft wurde die Quellen-TKÜ-Software des BKA (FinSpy) seit 2015 ein- 
gesetzt? 

12. Auf welcher Rechtsgrundlage erfolgte der jeweilige Einsatz? 

13. Von welchen Bundesländern wurde die Quellen-TKÜ-Software des BKA 
nach Kenntnis der Bundesregierung jeweils erlangt, und in welchen Ländern 
wurde sie bereits wie häufig konkret eingesetzt? 

14. Von welchen Behörden wurde die Quellen-TKÜ-Software nach Kenntnis der 
Bundesregierung wie häufig eingesetzt (Nennung der Behörde und die An- 
zahl der Einsetzung)? 

15. Um welche Verfahren handelt es sich dabei (Nennung der Deliktsbereiche)? 

16. Wie hoch waren die Entwicklungskosten im BKA im Bezug zur Quellen- 
TKÜ-Software? 

1 7. Wie ist der Stand bei der Entwicklung der Version RCIS 2.0 für Mobilgeräte? 

18. Welche Übeiprüfungen der Sicherheit der Quellen-TKÜ-Software 
„RCIS“ haben vor ihrer Freigabe im Februar 2016 stattgefunden? 

19. Durch wen erfolgte die Überprüfung? 

20. Wie hoch waren die Kosten? 


Deutscher Bundestag - 18. Wahlperiode 


-3- 


Drucksache 18/13413 


2 1 . Hat die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit 
vollumfänglichen Zugriff auf alle zur Prüfung nach BDSG erforderlichen In- 
formationen und Daten (einschließlich der Quellcodes der unterschiedlichen 
Trojanerprodukte) erhalten? 

22. Wenn nein, warum nicht? 

23. Auf welche Weise ist das BSI nach wie vor im Prozess der Erstellung der 
Trojaner eingebunden? 

24. Stellt die Bundesregierung den sog. Trojanerleitfaden (Titel: „Bedrohung 
der Informationssicherheit durch den gezielten Einsatz von Schadprogram- 
men“) der Öffentlichkeit zur Verfügung, damit nachvollzogen werden 
kann, welche Empfehlungen diese dafür zuständige Behörde ursprünglich 
gegeben hat und wenn nein, warum nicht (vgl. https://netzpolitik.org/ 
201 5/geheime -kommunikation-bsi-programmierte-und-arbeitete-aktiv-am- 
staatstrojaner-streitet-aber-zusammenarbeit-ab/)? 

25. Welche Ergebnisse der Quellcodeprüfung der BKA-eigenen Quellen-TKÜ- 
Software „RCIS“ lieferte der Bericht des BSI-zertifizierten Softwareprüfla- 
bors TÜV Informationstechnik GmbH? 

26. Kommt die Quellen-TKÜ-Software ebenfalls unter Ausnutzung von ver- 
deckten Software-Schwachstellen (sog. Zero Day Exploits) zum Einsatz? 

27. Wer ist konkret mit der Beschaffung der sog. Zero Day Exploits beauftragt? 

28. Auf welche Weise werden diese Sicherheitslücken derzeit erworben? 

29. Wer kontrolliert und überprüft den Ankauf der Sicherheitslücken? 

30. Verfügen die zuständigen Stellen über einen eigenen Etat für den Erwerb der 
entsprechenden Lücken? 

3 1 . Wenn ja, wie hoch ist dieser Etat und bestehen Vorgaben und Richtlinien für 
den Ankauf dieser sog. Zero-Day-Exploits? 

32. Wird das BKA die von ihm entwickelte oder erworbene Software zur Quel- 
len-TKÜ und Onlinedurchsuchung den Polizei- und Strafverfolgungsbehör- 
den des Bundes und der Länder zur Verfügung stellen, wenn die neu geschaf- 
fenen Rechtsgrundlagen zur Telekommunikationsüberwachung und Online- 
durchsuchung in der StPO in Kraft treten? 

33. Teilt die Bundesregierung die Auffassung, dass die Zurückhaltung bzw. feh- 
lende staatliche Meldung jeglicher Formen von Sicherheitslücken an Her- 
steller wie Bürgerinnen und Bürger im konkreten Fall nicht nur Gefahren für 
Einzelpersonen, sondern für die kritischen Infrastrukturen der Bundesrepu- 
blik Deutschland insgesamt nach sich ziehen können, und wie verantwortet 
und rechtfertigt sie diese gravierende Gefährdungslage? 

Berlin, den 18. August 2017 


Katrin Göring-Eckardt, Dr. Anton Hofreiter und Fraktion 
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